Guide: Gör om en dator till hemmarouter och brandvägg

Slår ett slag för Sophos UTM (f.d. ASG - Astaro Security Gateway) som alternativt brandväggs-os, som är gratis för privatpersoner. Har kört den i några år på min dedikerade brandväggsmaskin och det fungerar finfint.

Kul ja, svindyrt ja.
3 - 5 k för en medioker router för priset tyvärr.

Kör själv pfsense här hemma, riktigt trevligt då jag heller ville bygga eget när min gamla Asus-router tackade för sig.

Det är en Fujitsu Esprimo som jag fick tag till bra pris (990:-) ink frakt, med en Pentium G645, 4GB RAM och en 500GB HDD samt ett Intel Pro/1000 PT Dual Port jag köpte billigt på eBay.

Klarar utan problem med min Gbit-lina samt 5-6 burkar som är kopplad till den via en Netgear switch.

För Wifi så har jag en Unifi Lite AP.

Håller inte med, visst kan du bygga ihop en FW/Router billigare med liknande komponenter men vill du ha allt i ett slimmat kompakt format utan att knåpa själv är det inga pengar att prata om.

Vi håller successivt på att byta ut i princip alla brandväggar på jobbet mot Netgate's grejer (Officiell leverantör av färdiga PFSense system med Enterprise support)

Väljer en Netgate SG-3100 framför motsvarande Cisco ASA5506, Sonicwall TZ300, Sophos SG105 mf.l. Alla dagar i veckan.

Open source med alla dess fördelar är klart underskattat, har du en medelstor kund med flertalet användare som vill jobba offsite med Roadwarrior-VPN finns det inte många tillverkare som inte tar hutlösa summor för licenser. Lägg därtill den stora mängden tillgängliga addons som IDS till exempel Surricata/snort, CARP (Hardware failover) m.m.

@gibbs79:
Trevlig sida! Precis vad jag letade efter.

Kan bara hålla med! Grym brandvägg med riktigt bra gui.

Instämmer helt, virtualiserar en OPNSense FW genom ESXi 6.5. 1x vCPU, 2GB RAM, kör den inbyggda IDS:en (Har för mig att den är baserad på Surricata), IPSec RoadWarrior VPN med 2-vägs autentsering med Google Authenticator m.m. + en del andra tjänster och ett gäng regler. Har inte bootat om maskinen på över ett år, inga bekymmer what so ever.

Tack för en informativ täckande läsning!
Jag kör själv en pfSense router/brandvägg på ett Supermicro X7SPA-H, Atom D510, Intel 82574L och den funkar finfint. Har inte pulat tillräckligt med pfSense för att ens kunna säga något om det annat än det funkar bra Använder Squid och traffic shaping. Vill ta en titt på Snort.
Jag är en sådan typ som vill undvika "all in one" lösningar i nätverket, så jag har ingen ADSL moden/router/switch/accesspunkt-grunka. En sak per funktion, ett modem, en router, en switch och en accesspunkt.

@epaaj: frånsett hårdvaran kan du göra samma sak med vilken dator som helst.

PFsense är lite knusligt när det kommer till nic. Men har aldrig haft problem med prestanda om man håller sig till intel nics. Om inte hardware offload funkar som tänkt så springer ju usage iväg med en stackars atom jag har personligen oftast haf i3/i5 i hårdvaru fw's men kör oftast pfsense virtuellt med backande xeon.

Jag är själv ett stort fan av UBNTs prylar framförallt sedan de släppte UNMS för Edge serien. De levererar verkligen fin hårdvara för små pengar. Känns som man rånar dem när man jämför med Aruba och cisco. Framför allt om du delar med "billiga" prylar från de aktörerna.. Då har det inte i närheten av varken samma spec eller funktion som ubnt.

Vad gäller IPFire så vet jag inte riktigt när standard utförandet är bättre att applicera än pfsense. VLAN stödet är väldigt begärnsat och som jag minns det finns det bara 4 Zoner ? Röd,Orange,Grön,Blå där tex DHCP inte "officiellt" inte går att aktivera på orange vilket är deras DMZ. Det lämnar 2 nät förklienter.. Konfigurationen kräver blandad använding av GUI/SSH för att det ska vara praktiskt och ja känns som ett jävligt träligt UI. Eftersom att det är linux går det ju går runt dessa begränsningar men det är bökigare än det är normalt pga att det är en färdig dist som skriver över vanliga filer vid boot mm,då är smidigare att bara lägg upp tex en debian som router med kanske webmin från början eller helt utan gui eller kanske VyOS som är väldigt trevligt om man klarar sig utan GUI.

Kombinerar man ipfire med en lager 3 switch duger det väl men jag tycker att det är på tok för begränsat jämfört med konkuressen och duger inte mer än till "avancerad" hemrouter..

@Palme_570: var medveten om att IPFire är rätt begränsad, men det är ju rätt mycket "by-design". De begränsningar som finns är ändå ett icke-problem givet att en artikel likt denna bara kan ta upp väldigt grundläggande saker.

Föll faktiskt på en sak mer än att Pfsense är så mycket vanligare i forumen (och därför i min mening vettigare att använda i en artikel): BRIX IoT verkar bara stödja UEFI, finns ingen "BIOS emulering".

Om jag läste dokumentationen rätt så fick Pfsense stöd för UEFI-boot rätt nyligen. IPFire saknar det "out-of-the-box" i version 2.x som är den nu aktuella, kommer i 3.x serien. Hade gått att komma runt, men hade ju en artikel och skriva + ska ju i slutändan skicka tillbaka BRIX:en så ville inte lägga hur mycket tid som helst på att ens lyckas installera det hela.

För installationsbilder körde jag både IPFire och ClearOS under Hyper-V på Windows 10 laptop.

Intels Ethernet kort har ju officiellt stöd, d.v.s. det är Intel själva som tillverkat och underhåller drivers. Det verkar även gälla Intels senaste WiFi-kort (iwm), kontaktinformationen går i alla fall till Intel om man läser källkoden.

Körde ju senaste Pfsense, som använder FreeBSD 11.1 kärnan. I den finns faktiskt stöd för den WiFi-krets som sitter i enheten, iwm (kom med 11.0 kärnan).

I manualen nämns detta

The iwm driver provides support for:

	   Intel Dual Band Wireless AC 3160
	   Intel Dual Band Wireless AC 3165
	   Intel Dual Band Wireless AC 7260
	   Intel Dual Band Wireless AC 7265
	   Intel Dual Band Wireless AC 8260

Är den fetmarkerade kretsen som sitter i BRIX IoT.

Nu blev det ändå nog med information, var ju i första hand en introduktion till hur man kan använda t.ex. Pfsense för att sätta ihop sin egen brandvägg/router.

Men grävde lite till och rätt uppenbart varför det inte fungerar:

[2.4.3-RELEASE][admin@brix.hemma]/: pciconf -lv | grep Wireless
    device     = 'Wireless 3165'
[2.4.3-RELEASE][admin@brix.hemma]/: ifconfig wlan create wlandev iwm0
ifconfig: SIOCIFCREATE2: Device not configured
[2.4.3-RELEASE][admin@brix.hemma]/: kldstat -v | grep iwm
[2.4.3-RELEASE][admin@brix.hemma]/: kldstat -v | grep iwn
                166 pci/iwn
                179 iwn6050fw_fw
                178 iwn6000g2bfw_fw
                177 iwn6000g2afw_fw
                176 iwn6000fw_fw
                175 iwn5150fw_fw
                174 iwn5000fw_fw
                173 iwn4965fw_fw
                172 iwn2030fw_fw
                171 iwn2000fw_fw
                170 iwn135fw_fw
                169 iwn105fw_fw
                168 iwn100fw_fw
                167 iwn1000fw_fw

Pfsense gänget har helt enkelt glömt att ta med iwm drivern när de uppgraderade från 10.x till 11.x!

Vet inte om jag riktigt håller med om Atheros (som numera ägs av Qualcomm). Fungerar garanterat utmärkt om man har en 802.11n eller äldre då dessa stöds av ath drivaren. Men inte ens kommande FreeBSD 12.x verkar ha fått stöd för aktuella Atheros/Qualcomm kretsar med 802.11ac stöd.

Känns väl ändå lite sådär att en så pass dyr hemmarouter inte skulle ha stöd för 802.11ac år 2018?

Är säkert fullt möjligt att få igång WiFi på BRIX genom att bygga iwm som en modul och ladda in den i kärnan.

Hade en två gammal Dlink DWA-140 och DWA-160 liggande, de använder run drivaren och fick igång dessa utan större problem.

[2.4.3-RELEASE][admin@brix.hemma]/: ifconfig run0_wlan0
run0_wlan0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:22:b0:66:cd:0e
        hwaddr 00:22:b0:66:cd:0e
        inet6 fe80::222:b0ff:fe66:cd0e%run0_wlan0 prefixlen 64 scopeid 0x7
        inet 192.168.2.1 netmask 0xffffff00 broadcast 192.168.2.255
        nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
        media: IEEE 802.11 Wireless Ethernet autoselect mode 11g <hostap>
        status: running
        ssid Test channel 6 (2437 MHz 11g) bssid 00:22:b0:66:cd:0e
        regdomain ETSI country SE indoor authmode WPA2/802.11i privacy MIXED
        deftxkey 2 AES-CCM 2:128-bit txpower 30 scanvalid 60 pureg
        protmode OFF -apbridge dtimperiod 1 -dfs
        groups: wlan

Fast Pfsense verkar se wlan0 som ett vanligt Ethernet. Var lite det jag var ute efter med min kommentar: lär ju behövas någon plugin till Pfsense som lägger till konfiguration för att sätta WPA2 lösenord, Wifi-kanal och liknande. Ser inte att något sådant magiskt dök upp efter att jag lade till DWA-140 dongeln i Pfsense admin-gränssnittet.

Edit: nevermind, hittade det (fungerar nu för de enheter som använder "run" drivern)!. Tänker "plugin" mycket då det krävs Wifi-plugin för de andra två distributionerna jag nämnde (IPFire och ClearOS).

Ja det är ju by-design men som sagt har svårt att se när den är bättre att applicera.. Den är inte direkt mer användarvänligt än PFsense och har mindre funktion..